21. září bude sraz! Od 18.00 v restauraci Tradice v Praze u Anděla
Autor Zpráva
Fanóóš
Profil *
Zdravím,
před nedávnem jsem s pár přáteli spustili projekt, magazín o knihách, bohužel začal na nás někdo útočit, snažit se vniknout k administraci. Abych pravdu řekl, dělo se mi to už dřív, když jsem si vedl svůj menší projekt, nebylo to ale tak hrozné, jednou za čas spam komentář, to bylo vše. Doteď si to spojuji s wordpressem, že na něj podnikají útoky, ve snaze zjistit hesla, o nichž věří, že obsahuji čísla od jedničky po devítku, vzestupně sestavená, a pakliže to nevyjde, je tu přeci možnost opačná... Na webu máme umístěné formuláře pro odesílání zpráv, Wedos mi je zablokoval, kvůli těm útokům, nainstaloval jsem si iThemes Security a vyřešilo se to. Nyní jsou ale snahy o proniknutí masivní, email mam zapráskaný zprávami o zablokování možnosti přihlášení na určitý čas, díky onomu pluginu, samozřejmě mě to na Whitelist pustí, jen nevím, jak tomu úplně zamezit... Zamezit těm útokům a snahám. V SECURITY mám nastaveno všechny hlavní, tedy to, co po mne bylo požadováno, nicméně chci dosáhnout toho, aby tyto nepříjemnosti vymizely. Máte s tím někdo nějaké zkušenosti?

Předem děkuji za rady.
Keeehi
Profil
Jediná možnost je nemít to na internetu dostupné. Cokoliv je dostupné na internetu může být a je cílem útoků. S tím nic neuděláš.
Martin Weis
Profil
Ahoj, mám zrovna stejnou zkušenost,
část ukázky s logu níže, místo názvu domény kterou nebudu zde uvádět jsem zadal "neco". Záznamů s položkou POST je v logu velmi vysoké množství.
127.0.0.2 - - [04/Aug/2015:01:29:34 +0200] "POST /wp-cron.php?doing_wp_cron=1438644574.9656651020050048828125 HTTP/1.1" 200 - "-" "WordPress/4.1.6; http://www.neco.cz" 453 135
127.0.0.2 - - [04/Aug/2015:01:29:33 +0200] "GET / HTTP/1.1" 200 9177 "http://www.neco.cz" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)" 439 9407
127.0.0.2 - - [04/Aug/2015:01:40:04 +0200] "GET /?feed=rss2 HTTP/1.1" 200 5700 "http://www.neco.cz/?feed=rss2" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" 322 5970
127.0.0.2 - - [04/Aug/2015:01:40:05 +0200] "POST /wp-login.php HTTP/1.1" 200 3549 "http://www.neco.cz/wp-login.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" 589 3901
127.0.0.2 - - [04/Aug/2015:01:40:05 +0200] "POST /wp-login.php HTTP/1.1" 200 3549 "http://www.neco.cz/wp-login.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" 589 3901
127.0.0.2 - - [04/Aug/2015:01:40:06 +0200] "POST /wp-login.php HTTP/1.1" 200 4218 "http://www.neco.cz/wp-login.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" 602 4570

Zkusím taktéž iThemes Security, nicméně na tvoji otázku jak tomuto chování zamezit mě napadlo použít místo redakčního systému statické stránky, pak by logovací stránka nebyla a CPU serveru u Tvého poskytovatele by nebylo vytíženo a neměl by jsi ani plný log záznamů s pokusy o proniknutí na login page. Připadá mi to však jako krok zpět, nekomfortní nicméně účinné řešení.
Davex
Profil
Martin Weis:
Zdrojová adresa 127.0.0.2 by mohla znamenat, že to jsou přístupy z toho samého serveru, takže by mohl být napadený Wordpress na stejném serveru a útočit na ostatní weby. To by měl řešit poskytovatel hostingu.
Martin Weis
Profil
Davex:
To by dávalo smysl, budu na ně trochu důraznější , nechtěli to řešit protože to má být údajně věc webmastera. Dám vědět jak jsem pořídil, zatím jsem nastavil iThemes Security.
Martin Weis
Profil
Davex:
Tak už mám vyjádření od poskytovatele:
posilame ukazky casti zaznamu dotazu na vasi domenu. Je ocividne, ze dochazi k pokusum o prolomeni pristupu do administrace vaseho cms. Doporucujeme pouzit nektery z dostupnych pluginu, ktery ucinne zabrani temto pokusum.

46.119.132.207 - neco.cz [04/Aug/2015:13:49:28 +0200] "POST /wp-login.php HTTP/1.1" 200 4223 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" "0.604"
46.119.132.207 - neco.cz.cz [04/Aug/2015:13:49:29 +0200] "POST /wp-login.php HTTP/1.1" 200 4223 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" "1.189"
46.119.132.207 - neco.cz.cz [04/Aug/2015:13:49:30 +0200] "POST /wp-login.php HTTP/1.1" 200 4223 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" "0.455"
46.119.132.207 - neco.cz.cz [04/Aug/2015:13:49:31 +0200] "POST /wp-login.php HTTP/1.1" 200 4223 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" "0.535"
46.119.132.207 - neco.cz.cz [04/Aug/2015:13:49:32 +0200] "POST /wp-login.php HTTP/1.1" 200 4223 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko" "0.534"





Zatím tedy stále nastavuji iThemes Security.
Pokud přes ní však chci odstranit účet admin (jedno s mnoha opatření), je tam na výběr:
Delete all content.
Attribute all content to:

Komentáře jsem sice zakázal, používám pouze statické stránky avšak z obavy aby obsah vytvořený adminem nebyl odstraněn jsem raději provedl přejmenování účtu admina na jiný název.

Fanóóš:
email mam zapráskaný zprávami o zablokování možnosti přihlášení na určitý čas, díky onomu pluginu
Postačí použít v iThemes security funkci "Send digest email" která by to měla omezit na pouze jeden e-mail za den.

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm:

0